GitHub corrigiu uma vulnerabilidade de segurança grave, relatado por pesquisadores do Google Project Zero há cerca de três meses. A falha afetou o recurso Actions do GitHub, uma ferramenta de automação de fluxo de trabalho para desenvolvedores, e foi descoberto por Felix Wilhelm.
Nas próprias palavras do pesquisador, o bug era altamente suscetível a ataques de injeção, embora o GitHub argumentasse que era moderado. O Google publicou detalhes sobre a vulnerabilidade 194 dias após o relatório inicial.
Mais sobre a vulnerabilidade de ataques de injeção do GitHub
Projeto Zero normalmente divulga informações sobre quaisquer falhas em 90 dias após o relatório original. Vale ressaltar que até novembro 2, GitHub excedeu o período. Pouco antes do final do prazo de divulgação estendido, O GitHub disse que não desativaria a ferramenta vulnerável e pediu uma extensão do 48 horas.
Durante essas horas, O GitHub pretendia informar seus clientes sobre o problema e definir uma data para resolvê-lo no futuro. Na sequência destes acontecimentos, O Google veio a público com a vulnerabilidade, 104 dias após o relatório inicial.
A boa notícia é que o GitHub finalmente corrigiu o bug na semana passada, seguindo o conselho de Wilhelm para desativar os antigos comandos de execução da ferramenta - set-env e adicionar caminho.
O grande problema com esse recurso é que ele é altamente vulnerável a ataques de injeção. Como o processo de execução analisa cada linha impressa em STDOUT procurando por comandos de fluxo de trabalho, cada ação do Github que imprime conteúdo não confiável como parte de sua execução é vulnerável. Na maioria dos casos, a capacidade de definir variáveis de ambiente arbitrárias resulta na execução remota de código assim que outro fluxo de trabalho é executado, disse Wilhelm em seu relatório de bug original.
disse brevemente, a capacidade de definir variáveis de ambiente arbitrárias pode levar à execução remota de código. O ataque pode acontecer assim que outro fluxo de trabalho for executado, explica a pesquisadora. Wilhelm agora confirmou que o bug do GitHub foi finalmente corrigido.
Em outubro, GitHub adicionou um recurso de varredura de código para detectar vulnerabilidades de segurança. O recurso foi anunciado pela primeira vez durante a conferência GitHub Satellite. Primeiro disponível para bater testadores, o recurso já foi usado mais do que 1.4 milhões de vezes 12,000 repositórios. Como resultado das varreduras, mais que 20,000 vulnerabilidades foram identificadas. As falhas de segurança descobertas incluem execução remota de código, injeção SQL, e problemas de script entre sites.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: